Glavni naslov PPT predstavitve
Download
Report
Transcript Glavni naslov PPT predstavitve
Postfix in Apache v internetnih sistemih
Nove Ljubljanske banke
Darko Ilič, Nova Ljubljanska banka, d.d.
Srečko Podlogar, Nova Ljubljanska banka, d.d.
Uroš Slak, Astec, d.o.o.
IBLOC 2006
Postfix in Apache v internetnih sistemih NLB
1
Vsebina
Odprtokodne rešitve v NLB
Razlogi ZA vpeljavo odprtokodnih rešitev
Poštni relay strežnik - Postfix
Spletni strežnik - Apache
Izkušnje z odprtokodnimi rešitvami
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
2
Odrtokodne rešitve v NLB
Postfix (2002)
Apache (2002)
BIND (2002)
Squid
Logsentry
OpenSSH
Tripwire
Logrotate
TIS Firewall Toolkit
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
3
Sporočilni sistem in spletni strežnik
Sporočilni sistem
> 4000 internih uporabnikov
cca. 2800 sporočil na uro
cca.110.000 sporočil na dan
cca. 36.000.000 sporočil na leto
Spletni strežnik
18.000.000 zadetkov na mesec
350.000 sej na mesec
100.000 unikatnih obiskovalcev
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
4
Cilji in vodila
Cilji
Poštni relay strežnik
Spletni strežnik
Vodila pri izbiri
Varnost
Performančne lastnosti
Enostavnost upravljanja
Prilagodljivost posebnim zahtevam
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
5
Razlogi ZA odprtokodne rešitve
Priznani rešitvi in velik tržni delež
Performančne lastnosti
Svetovno priznana varnost in stabilnost rešitve
Cena
ASTEC partner z bogatimi izkušnjami in
referencami s področja odprtokodnih rešitev
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
6
Poštni relay strežnik
Postfix
Zahteve projekta
Največja možna zaščita OS
Največja možna zaščita postix in vseh ostalih
komponent programske opreme
Ustrezna performančna zmogljivost
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
7
Postfix varnostna konfguracija
Omejitev posredovanja pošte
Odstranjevanje internih informacij
Pošiljanje sporočil le za lokalne domene
Omejitev maksimalnega števila prejemnikov
Preverjanje pravilnosti zapisa naslovov
Prepoved znanih “problematičnih” strežnikov
Prepoved “problematičnih” poštnih uporabnikov
Prepoved pošiljanja preko robotov za pošiljanje
Zahteva po pravilnem sledenju SMTP protokola
Oteževanje skeniranja konfiguracije
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
8
Prehod v produkcijo
Odlični rezultati performančnih testov
Brez težav pri konfiguraciji Postfix
Težave pri prehodu v produkcijo
vpliv Cisco Firewall Feature Set
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
9
Nastavitve FFS
“Aug 23 20:16:00 web postfix/smtpd[20550]: fatal: accept
connection: No buffer space available
Aug 23 20:16:01 web postfix/master[20469]: warning: process
smtpd pid 20550 exit status 1
Aug 23 20:16:01 web postfix/master[20469]: warning:
smtpd:bad command startup – throttling”
Vzrok
RST po SYN paketu, ki ga pošlje CISCO FFS
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
10
Popravek izvorne kode
sane_accept.c code:
56a57,59
> #idef HPUX11
>
ENOBUFS,
> #endif
int
{
sane_accept(int sock, struct sockaddr * sa, SOCKADDR_SIZE *len)
static int accept_ok_errors[] = {
EAGAIN,
….
ENOTCONN,
EWOULDBLOCK,
#idef HPUX11
ENOBUFS,
#endif
0,
};
static int accept_warn_errors[] = {
ECONNABORTED,
0,
};
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
11
Naknadne izboljšave in izkušnje z uporabo
Avtomatična sprememba ciljnega strežnika za siol.net
domeno
Poročila in poročanje o napakah pri pošiljanju
Obveščanje ob brisanju prevelikih sporočilih
Vklop antispam funkcionalnosti – SPAMCOP
Zanesljivost
Performančne zmogljivosti (več kot 20.000 sporočil v
vrsti, več kot 10.000 sporočil na uro)
Enostavno skrbništvo – konfiguracija in vzdrževanje
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
12
Apache spletni strežnik
Apache
Zahteve projekta
Največja možna zaščita OS
Največja možna zaščita apache in vseh ostalih komponent
programske opreme
Ustrezna performančna zmogljivost
Varnostna konfiguracija
3. Oktober 2006
Apache Chroot
Chroot podatkovne baze
Natančna performančna in varnostna konfiguracija
Brez skriptnih jezikov
Postfix in Apache v internetnih sistemih NLB
13
Pridobljene izkušnje in izboljšave
Ustrezno performančno načrtovanje
Potrebno redno posodabljanje –> prehod na HP
apache distribucijo
Zaradi portalske zgradbe in podatkovne baze
uporaba rewrite modula
Veliko navideznih strežnikov (virtual hosts)
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
14
Načrtovane razširitve
Poštni strežnik
Visoko razpoložljiva konfiguracija
Močnejša zaščita pred nezaželenimi sporočili
Ločitev masovne pošte in osebne pošte
Spletni strežnik
Visoko razpoložljiva konfiguracija
Vpeljava extranet omrežja (pridružene banke)
3. Oktober 2006
Postfix in Apache v internetnih sistemih NLB
15
Vprašanje in Odgovori
Darko Ilič, Nova Ljubljanska banka, d.d.
Srečko Podlogar, Nova Ljubljanska banka, d.d.
Uroš Slak, Astec, d.o.o.
Nova Ljubljanska banka d.d., Ljubljana
Trg republike 2, 1520 Ljubljana
T: (01) 425 01 55
e-pošta: [email protected]
Postfix in Apache v internetnih sistemih NLB
16